网络信息安全管理之资产、脆弱性、威胁、风险
網絡信息安全管理是指對網絡資產采取合適的安全措施,以確保網絡資產的可用性、完整性、可控制性和抗抵賴性,不致因網絡設備、網絡通信協議、網絡服務、網絡管理受到人為和自然因素的危害,而導致網絡中斷、信息泄露或破壞。網絡信息管理對象主要包括網絡設備、網絡通信協議、網絡操作系統、網絡服務、安全網絡管理等在內的所有支持網絡系統運行的軟、硬件總和。網絡信息安全管理的目標就是通過適當的安全防范措施,保障網絡的運行安全和信息安全,滿足網上業務開展的安全要求。
網絡信息安全管理要素由網絡管理對象、網絡威脅、網絡脆弱性、網絡風險、網絡保護措施組成。由于網絡管理對象自身的脆弱性,使得威脅的發生成為可能,從而造成了不同的影響,形成了風險。網絡安全管理實際上就是風險控制,其基本過程是通過網絡管理對象的威脅和脆弱性進行分析,確定網絡管理對象的價值、網絡管理對象威脅發生的可能性、網絡管理對象的脆弱程度,從而確定網絡管理對象的風險等級,然后據此選取合適的安全保護措施,降低網絡管理對象的風險。
安全風險管理的三要素分別是資產、威脅和脆弱性,脆弱性的存在將會導致風險,而威脅主體利用脆弱性產生風險。網絡攻擊主要利用了系統的脆弱性。由于網絡管理對象自身的脆弱性,使得威脅的發生成為可能,從而造成了不同的影響,形成了風險。
網絡信息安全管理對象是企業、機構直接賦予了價值而需要保護的資產。它的存在形式包括有形的和無形的,如網絡設備硬件、軟件文檔是有形的,而服務質量、網絡帶寬是無形的。
常見的網絡信息安全管理對象信息安全資產分類如下:
| 分類 | 示例 |
| 數據 | 保存在信息媒介上的各種數據資料,包括源代碼、數據庫數據、系統文檔、運行管理規程、計劃報告、用戶手冊、各類紙質的文檔等 |
| 軟件 | 系統軟件:操作系統、數據庫管理系統、語句包、開發系統等 應用軟件:辦公軟件、數據庫軟件、各類工具軟件等 源程序:各種共享源代碼、自行或合作開發的各種代碼等 |
| 硬件 | 網絡設備:路由器、網關、交換機等 計算機設備:大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等 存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等 傳輸線路:光纖、雙絞線等 保障設備:UPS、變電設備、空調、保險柜、文件柜、門禁、消防設施等 安全設備:防火墻、入侵檢測系統、身份鑒別等 其他:打印機、復印機、掃描儀、傳真機等 |
| 服務 | 信息服務:對外依賴該系統開展的各類服務 網絡服務:各種網絡設備、設施提供的網絡連接服務 辦公服務:為提高效率而開發的管理信息系統,包括各種內部配置管理、文件流轉管理等服務 |
| 人員 | 掌握重要信息和核心業務的人員,如主機維護主管、網絡維護主管及應用項目經理等 |
| 其他 | 企業形象、客戶關系等 |
脆弱性:脆弱性也可稱為弱點或漏洞,是資產或資產組中存在的可能被威脅利用造成損害的薄弱環節。脆弱性一旦被威脅成功利用就可能對資產造成損害。脆弱性可能存在于物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個方面。
脆弱性是與資產緊密相連的,是其固有的屬性,客觀存在是絕對的,但存在脆弱性不一定就絕對造成安全事件。如果沒有被相應的威脅利用,單純的脆弱性本身不會對資產造成傷害。
| 類型 | 識別對象 | 脆弱性子類 |
| 技術脆弱性 | 物理環境 | 機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通訊線路的保護、機房區域防護、機房設備管理等 |
| 網絡結構 | 網絡結構設計、網絡傳輸加密、網絡設備安全漏洞、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等 | |
| 服務器/系統軟件 | 補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統配置(初始化)、注冊表加固、網絡安全、系統軟件安全漏洞、軟件安全功能管理等 | |
| 數據庫 | 補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、備份恢復機制、審計機制等 | |
| 應用系統 | 審計機制、審計存儲、訪問控制策略、數據完整性、通訊、鑒別機制、密碼保護等 | |
| 應用中間件 | 協議安全、交易完整性、數據完整性等 | |
| 管理脆弱性 | 技術管理 | 物理和環境安全、通訊和操作管理、訪問控制、系統開發與維護、業務連續性等 |
| 組織管理 | 安全策略、組織安全、信息資產分類與控制、人員安全、符合性等 |
威脅:對資產或組織可能導致負面結果的一個事件的潛在源。威脅利用管理對象自身的脆弱性,采用一定的途徑和方式,對評估對象造成損害或損失,從而形成風險。
威脅源分三類:自然威脅、人為威脅和環境威脅。
| 種類 | 描述 | 威脅子類 |
| 軟硬件故障 | 對業務實施或系統運行產生影響的設備硬件故障、通訊鏈路中斷、系統本身或軟件缺陷等問題 | 設備硬件故障、傳輸設備故障、存儲媒體故障、????????????????? 系統軟件故障、應用軟件故障、數據庫軟件故障、開發環境故障等 |
| 物理環境影響 | 對信息系統正常運行造成影響的物理環境問題和自然災害 | 斷電、靜電、灰塵、潮濕、溫度、洪災、火災、地震、暴風雨、潮汐、污染、空調設備故障、鼠蟻蟲害、電磁干擾等?????????? |
| 操作失誤 | 應該執行而沒有執行相應的操作,或無意執行了錯誤的操作 | 維護錯誤、操作失誤、提供錯誤的指南或操作信息等 |
| 管理不到位 | 安全管理無法落實或不到位,從而破壞信息系統正常有序運行 | 管理制度和策略不完善、管理規程缺失、職責不明確、監督控管機制不健全等 |
| 惡意代碼 | 故意在計算機系統上執行惡意任務的程序代碼 | 病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件、攜帶惡意軟件的垃圾郵件、流氓安全軟件、即時消息垃圾郵件等 |
| 越權或濫用 | 通過采用一些措施,超越自己的權限訪問了本來無權訪問的資源,或者濫用自己的權限,做出破壞信息系統的行為 | 非授權訪問網絡資源、非授權訪問系統資源、濫用權限非正常修改系統配置或數據、濫用權限泄露秘密信息、非授權使用存儲介質等 |
| 網絡攻擊 | 利用工具和技術通過網絡對信息系統進行攻擊和入侵 | 網絡探測和信息采集、漏洞探測、嗅探(賬號、口令、權限等)、用戶身份偽造和欺騙、用戶或業務數據的竊取和破壞、系統運行的控制和破壞、拒絕服務攻擊、僵尸網絡、隱蔽式下載、名譽劫持、網絡黑客的入侵等 |
| 物理攻擊 | 通過物理的接觸造成對軟件、硬件、數據的破壞 | 物理接觸、物理破壞、盜竊、勒索、罷工、內部員工蓄意破壞等 |
| 泄密 | 信息泄露給不應了解的他人 | 內部信息泄露、外部信息泄露等 |
| 篡改 | 非法修改信息,破壞信息的完整性使系統的安全性降低或信息不可用 | 篡改網絡配置信息、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等 |
| 抵賴 | 不承認收到的信息和所作的操作和交易 | 原發抵賴、接受抵賴、第三方抵賴等 |
在這里可以看出威脅與攻擊的區別和關系。攻擊是威脅的一種類型,攻擊是人為的蓄意的有計劃采取的惡意破壞的行動。一般來說攻擊比較容易檢測到。
網絡信息安全風險是指特定的威脅利用網絡管理對象所存在的脆弱性,導致網絡管理對象的價值受到損害或丟失的可能性。簡單的說,網絡安全風險就是網絡威脅發生的概率和所造成影響的乘積。
本文整理自《信息安全工程師教程第2版》
作者博客:XieJava's blog
總結
以上是生活随笔為你收集整理的网络信息安全管理之资产、脆弱性、威胁、风险的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: js 剩余时间,天,小时,分钟,秒
- 下一篇: 【技巧】Excel单元格中添加进度条